linux vps 伺服器 必要的簡單安全配置入門教程

仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳

雖然說linux 系統比windows安全性要高一些，不過一些簡單的安全配置也是必要的。 互聯網上有很多工具採用字典方式掃描套取你的管理員密碼，我們可以創造一些麻煩出來,增加被破譯的可能性。 一起看學習下入門級安全配置吧。

第一.遠端系統管理埠

修改ssh 的登陸埠，預設埠是22.掃描字典窮舉密碼他們都是從預設的開始.如果你把埠改成4位數的也大大提高了他們的難度及時間，用vi命令來編輯ssh設定檔( vi命令要用到編輯和保存退出等幾個簡單命令如果不熟悉或者不會可以百度或者本站搜索)：

vi /etc/ssh/sshd_config

找到#Port 22，去掉前面的#，並修改為Port 1998(此數位儘量用4位數，避免被佔用其它埠)，然後，重啟sshdservice sshd restart別忘了重啟後ssh用戶端也要改新埠才可以登陸。

第二.給root使用者設置一個強悍的密碼最好是10位以上 字母+數位這樣被字典破譯的可能性就和中彩票一樣難

這個一般後臺可以修改如SolusVM 平臺可以直接修改

如果是其它管理面板沒有修改密碼功能的話 也可以在ssh裡面用 passwd 命令修改

輸入兩次即可(當然也可以禁用root使用者創建一個新使用者給予root許可權但老鷹認為必要性不大只要密碼強大破譯的可能性還是非常小的)

第三.小規模防禦ddos 及 cc

ddos 出現以很多年了，國內機房90%都有一定的防禦能力，(配置了硬體防火牆)攻擊原理很簡單就是用虛假資料包堵死你的網路，不過國外IDC 大多數是不提供防禦的，我們只能用軟體輔助， 可以一定程度上減輕攻擊.但這個和伺服器硬體本身配置以及頻寬還是有很大關系。 一般也只能防禦小規模的攻擊，流量大了還是會癱瘓。

windows 平臺有軟防和修改註冊表來達到這個目的，linux 下軟體今天介紹的是DDos deflate 和系統自帶的iptables來實現具體操作 如下

先確認一下 service iptables staus 服務 一般預設都自帶

然後開始安裝

DDos deflate

wget HTTP://www.inetbase.com/scripts/ddos/install.sh

chmod +x install.sh

./install.sh

完成安裝後顯示如下：

安裝完畢後顯示如上圖，安裝完成後需要對檔進行配置用vi編輯器

vi /usr/local/ddos/ddos.conf

這裡主要是APF_BAN=1修改為0(使用iptables)，另外EMAIL_TO=」root」可以將root修改為你的一個Email位址，這樣系統辦掉哪個IP，會有郵件提示你。

##### Paths of the script and other files

PROGDIR=」/usr/local/ddos」

PROG=」/usr/local/ddos/ddos.sh」

IGNORE_IP_LIST=」/usr/local/ddos/ignore.ip.list」 //IP位址白名單

CRON=」/etc/cron.d/ddos.cron」 //定時執行程式

APF=」/etc/apf/apf」

IPT=」/sbin/iptables」

##### frequency in minutes for running the script

##### Caution: Every time this setting is changed, run the script with –cron

##### option so that the new frequency takes effect

FREQ=1 //檢查時間間隔，預設1分鐘

##### How many connections define a bad IP? Indicate that below.

NO_OF_CONNECTIONS=150 //最大連接數，超過這個數IP就會被遮罩，一般預設即可

##### APF_BAN=1 (Make sure your APF version is atleast 0.96)

##### APF_BAN=0 (Uses iptables for banning ips instead of APF)

APF_BAN=0 //使用APF還是iptables。 推薦使用iptables,將APF_BAN的值改為0即可。

##### KILL=0 (Bad IPs are’nt banned, good for interactive execution of script)

##### KILL=1 (Recommended setting)

KILL=1 //是否遮罩IP，預設即可

##### An email is sent to the following address when an IP is banned.

##### Blank would suppress sending of mails

EMAIL_TO=admin@vpsck.com //當IP被遮罩時給指定郵箱發送郵件，推薦使用，換成自己的郵箱

##### Number of seconds the banned ip should remain in blacklist.

BAN_PERIOD=600 //禁用IP時間，預設600秒，可根據情況調整

系統預設白名單有些問題，經常會有失誤，所以，我們最好再設定手工設置白名單並不可修改。

vi /usr/local/ddos/ignore.ip.list #手工設置白名單IP

chattr +i /usr/local/ddos/ignore.ip.list #強制不允許修改

chattr -i /usr/local/ddos/ignore.ip.list #解除不允許修改

經過上述的配置基本安全配置就OK了，當然liunx 平臺下還有很多同類的免費防火牆不過基本上都是英文文獻.需要多學習練習才能實際部署

原創發佈老鷹博客 HTTP://www.vpsck.com/355.html